Hoy en día el término Ciberseguridad está en todas partes, tanto en nuestro entorno profesional como en el personal. La Ciberseguridad lo impregna todo, desde la relación con nuestras entidades bancarias hasta la gestión de las RRSS a nivel familiar, recordemos por ejemplo las cláusulas de privacidad que cada cierto tiempo nos vemos obligados a aceptar para poder seguir utilizando las aplicaciones de mensajería instantánea más difundidas.
Términos como phishing, malware o ransomware se han convertido en cotidianos para todos nosotros y los informativos de televisión habitualmente se hacen eco de noticias relacionadas con ataques de grupos más o menos organizados que buscan sacar rédito económico o estratégico de sus incursiones maliciosas.
En una industria cada día más conectada, existen un buen número de soluciones de ciberseguridad específicas, escalables y adaptadas a cada contexto.
Sin embargo, no es tan habitual centrar el foco en las peculiaridades que tienen este tipo de acciones malintencionadas cuando su objetivo son plantas industriales. Actualmente cualquier instalación que podamos considerar relevante para la gestión de algún recurso o servicio crítico como pueden ser un gaseoducto, una planta potabilizadora de agua, un centro de control de tráfico o una central térmica, gestiona sus procesos internos de manera altamente automatizada y utilizan para dicha gestión, además de elementos de red convencionales como servidores, routers, firewalls o puestos de control distribuidos, otros sistemas más específicos del ámbito productivo como PLCs, sistemas SCADA o robots.
Estos elementos están conectados a través de buses ampliamente extendidos de comunicación industrial como ModBus o ProfiBus, buses que, desde principios del siglo actual aproximadamente, dejaron de ser sistemas aislados en las plantas industriales donde están desplegados y empezaron a ser compatibles con protocolos Ethernet y, por tanto, a ser también susceptibles de ser accedidos desde el exterior. La especial vulnerabilidad de estas instalaciones aparece cuando además del propio valor de los datos que se gestionan, se introduce en la ecuación el peligro que supone para las personas un malfuncionamiento de sus activos físicos. Por supuesto hay diferentes grados para categorizar ese malfuncionamiento y no es lo mismo provocar un apagón temporal de electricidad o de los semáforos del centro de nuestra ciudad que distribuir por la red de abastecimiento de una ciudad agua no apta para el consumo por una dosis excesiva de cloro o tener un problema grave de refrigeración en una central nuclear.
Estas complejas instalaciones industriales son infraestructuras muy costosas que, por lo general, tardan varios años en construirse y ponerse en servicio y se diseñan para dar servicio a la población durante varias décadas de forma que se rentabilicen las inversiones realizadas. El problema surge cuando durante los últimos años se han incrementado de forma exponencial los ataques de grupos organizados a través de la red a instalaciones que inicialmente estaban pensadas y preparadas para responder ante ataques físicos con vallas perimetrales, circuitos cerrados de televisión o personal armado y de un día para otro se encuentran en la necesidad de responder también ante ataques lógicos.
Por tanto, el problema principal de la Industria es cómo reciclar sistemas que no fueron concebidos en su desarrollo hace muchos años para resistir sofisticados ataques que pueden hacer peligrar no sólo la propiedad industrial o la reputación empresarial de una organización sino la integridad de servicios esenciales para la población.
Como respuesta a estas amenazas han surgido varias herramientas específicas para el entorno industrial desarrolladas tanto por instituciones públicas como por empresas privadas. Esta especificidad deriva de la dificultad de aplicar las mismas estrategias utilizadas en redes IT convencionales de datos así como de la actualización de versiones para luchar contra amenazas conocidas ya que, por un lado, la imposibilidad de detener los procesos industriales de estas infraestructuras críticas de forma recurrente para subir versiones es un hándicap pero, por otro, también lo es la dificultad de incorporar nuevas actualizaciones de código en componentes hardware con muchas limitaciones por su antigüedad.
Otra de las estrategias habituales para impedir accesos no deseados en redes convencionales, o al menos mitigarlos, consiste en implementar segmentaciones tanto lógicas como físicas de la red de datos en base a arquitecturas complejas que impidan que un acceso externo a un determinado equipo o servicio permita vía libre a los malintencionados para campar a sus anchas por toda la red atacada. En una red industrial donde hay necesidad de que todos los controladores, sensores y actuadores funcionen de forma coordinada en estructuras de tipo bucle cerrado con realimentación continua de las salidas de los procesos, resulta más complicado el poder aplicar estas mismas técnicas de segmentación.
Teniendo en cuenta todas estas premisas, el sector de la ciberseguridad ha trabajado mucho durante los últimos años para ofrecer a la industria soluciones cada vez más avanzadas y adaptadas a sus necesidades específicas, por ejemplo desarrollando sondas de monitorización que se despliegan virtualmente en las redes de comunicación industrial para monitorizar la actividad de la planta, sin ralentizar ni bloquear las lecturas recibidas o las consignas lanzadas por los elementos físicos que forman parte de la red. Estas sondas son capaces de detectar en tiempo real diferentes tipos de anomalías de una manera apenas intrusiva alertando casi inmediatamente de cualquier funcionamiento fuera de la situación nominal en los denominados Industrial Control Systems (ICS).
La preocupación es tal ante las consecuencias de este tipo de ataques a instalaciones críticas que la IEC (International Electrotechnical Commission) ha desarrollado una norma específica denominada IEC-62443 que recoge una serie de recomendaciones para afrontar, con un enfoque holístico, la protección industrial en el ciclo completo de vida de los procesos desde la auditoría inicial de riesgos hasta el propio despliegue de las operaciones y el NIST (National Institute of Standards and Technology) norteamericano ha publicado recientemente un borrador para la gestión de ataques de ransom donde incorpora específicamente varias referencias a la especificidad de los ICS.
Totalmente alineado con estas iniciativas internacionales pero en clave nacional, el CCN (Centro Criptológico Nacional) ha puesto en marcha el servicio SAT-ICS para la detección en tiempo real de las amenazas e incidentes existentes en el tráfico en las redes de control y supervisión industrial.